Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.01.2015

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

8. Sozialwesen

8.1. Gesetzliche Krankenversicherung

8.1.1. Untergesetzliches Recht als datenschutzrechtliche Befugnis?

Das Recht der gesetzlichen Krankenversicherung ist überaus umfangreich und kompliziert. Rahmengesetz ist das Sozialgesetzbuch Fünftes Buch (SGB V). Darin hat der Gesetzgeber es den verschiedenen Beteiligten in der gesetzlichen Krankenversicherung aber auch ermöglicht, dieses Rahmenrecht durch unterschiedliche Vereinbarungen zu konkretisieren. Im Berichtszeitraum hatte ich dabei vielfach die Frage zu entscheiden, ob diese Verträge, Richtlinien etc. eine datenschutzrechtliche Befugnis sein können. Dies hatte ich noch in meinem 17. Tätigkeitsbericht 1996 unter Nr. 4.4.4 abgelehnt. Inzwischen hat sich jedoch die Rechtsprechung weiterentwickelt. Danach liegen hier Normsetzungsverträge vor, die Rechte und Pflichten der Beteiligten, aber auch der gesetzlich Krankenversicherten begründen. Damit liegt ein "Gesetz" vor, das als datenschutzrechtliche Befugnis herangezogen werden kann. Voraussetzung dafür ist allerdings, dass im SGB V entsprechende Aufgaben angelegt sind.

In einem konkreten Einzelfall hatte ich zu prüfen, ob das Verfahren bei der Begutachtung im Rahmen der vertragszahnärztlichen Versorgung datenschutzrechtlich zulässig ist. Ich habe nach eingehenden Erörterungen hierbei erstmals die Auffassung anerkannt, dass sich die Beteiligten in der Regel auf datenschutzrechtliche Befugnisse im zugrundeliegenden Bundesmantelvertrag-Zahnärzte (BMV-Z) berufen können.

Unabhängig hiervon musste ich auch datenschutzrechtliche Verstöße feststellen. So können Krankenkassen ihre datenschutzrechtlichen Befugnisse nicht durch den Einsatz von Beratungszahnärzten erweitern.

Außerdem musste ich eine Beanstandung aussprechen. So hat die Kassenzahnärztliche Vereinigung Bayerns über mehrere Jahre Gutachten für die Ersatzkassen vermittelt. Jedoch konnte sie sich nicht auf eine datenschutzrechtliche Befugnis im BMV-Z berufen. Des Weiteren war ein derartiges Vorgehen auch nicht erforderlich. Schließlich war bei anderen Krankenkassen ein sehr viel datenschutzfreundlicheres Vorgehen vorgesehen. Diese Vermittlung hatte ich daher bereits im Jahre 2005 kritisiert. Daraufhin hatte mir die Kassenzahnärztliche Vereinigung Bayerns zugesichert, dieses Verfahren einzustellen. Entgegen dieser Zusicherung beendete die Kassenzahnärztliche Vereinigung Bayerns diese datenschutzrechtlichen Verstöße erst kürzlich und nur deshalb, weil eine Ersatzkasse angekündigt hat, an der zentralen Gutachtensvergabe nicht weiter teilnehmen zu wollen. Angesichts dieser Umstände war eine Beanstandung logische Folge und unvermeidlich.

8.1.2. Hilfsmittelversorgung der Krankenkassen

Die datenschutzrechtlichen Befugnisse einer Krankenkasse sind nicht nur beim Krankengeldfallmanagement gegenüber dem Medizinischen Dienst der Krankenversicherung (MDK) abzugrenzen (siehe Nr. 8.1.4). Dies betrifft vielmehr grundsätzlich alle Leistungsbereiche einer Krankenkasse. Im Rahmen verschiedener Eingaben sowie einer Prüfung einer Krankenkasse vor Ort musste ich jedoch feststellen, dass dies bei der Versorgung mit Hilfsmitteln häufig nicht beachtet wurde.

Auch hier gilt der von der Rechtsprechung bestätigte Grundsatz, dass eine Krankenkasse grundsätzlich nicht befugt ist, sensible medizinische Daten zur Kenntnis zu nehmen. Erst recht darf eine Krankenkasse nicht in einem größeren Umfang sensible medizinische Daten erheben, wenn sie den MDK nicht einschaltet. Soll der MDK im Auftrag einer Krankenkasse prüfen, akzeptiere ich nach wie vor die "Kuvertlösung". Es soll auch zukünftig die Möglichkeit bestehen, sensible medizinische Daten datenschutzkonform in einem Kuvert mit der Aufschrift "Nur vom MDK zu öffnen" über die Krankenkasse an diesen zu schicken (siehe 17. Tätigkeitsbericht 1996 Nr. 4.4.2).

Eine Krankenkasse kann zwar eine vorherige Bewilligung eines Hilfsmittels vorsehen. Dadurch kann sie aber nicht den Umfang ihrer datenschutzrechtlichen Befugnisse erweitern. Es ergibt also datenschutzrechtlich keinen Unterschied, ob bei einem Hilfsmittel eine vorherigen Bewilligung oder eine nachträgliche Abrechnung vorgesehen ist.

Der Umfang der Erhebungsbefugnis einer Krankenkasse richtet sich dabei nach der Übermittlungsbefugnis der Leistungserbringer. Bei Ärzten ist grundsätzlich § 36 Bundesmantelvertrag-Ärzte (BMV-Ä) einschlägig, eine untergesetzliche Norm (siehe Nr. 8.1.1).

§ 36 BMV-Ä Schriftliche Informationen

(1) Der Vertragsarzt ist befugt und verpflichtet, die zur Durchführung der Aufgaben der Krankenkassen erforderlichen schriftlichen Informationen (Auskünfte, Bescheinigungen, Zeugnisse, Berichte und Gutachten) auf Verlangen an die Krankenkasse zu übermitteln. Wird kein vereinbarter Vordruck verwendet, gibt die Krankenkasse an, gemäß welcher Bestimmungen des Sozialgesetzbuches oder anderer Rechtsvorschriften die Übermittlung der Information zulässig ist. Eine patientenbezogene mündliche Auskunft des Vertragsarztes ist nur zulässig, wenn der Arzt sich vergewissert hat, dass der Gesprächspartner berechtigt ist, die Information zu erhalten ...

(3) Für schriftliche Informationen werden Vordrucke vereinbart ...

(5) Für formlose Anfragen, die auf die Erteilung von Auskünften, Bescheinigungen, Gutachten oder Bescheinigungen mit gutachterlicher Fragestellung gerichtet sind, für deren Zweck jedoch kein gesonderter Vordruck vereinbart worden ist, wird ein vereinbartes Rahmenformular verwendet. In diesem Rahmenformular sind Angaben vorzusehen, aus denen dem Arzt der Grund und die Berechtigung für die Beantwortung der Anfrage ersichtlich wird ...

Grundsätzlich haben Ärzte daher nur vereinbarte Vordrucke auszustellen. Derzeit liegt ein Rahmenformular noch nicht vor und wird wohl in absehbarer Zeit auch nicht vorliegen. Ärzte sind daher grundsätzlich nicht befugt bzw. verpflichtet, formlose Anfragen von Krankenkassen zu beantworten.

Im Hilfsmittelbereich sind Ärzte daher derzeit grundsätzlich lediglich dazu verpflichtet, ein Rezept (Muster 16 der Vordruckvereinbarung) auszufüllen. In vielen Fällen haben Krankenkassen bei "Nachfragen" zwar dahingehend argumentiert, diese Angaben hätte der Arzt schon in der Verordnung angeben müssen. Dadurch dürfen sie aber keinesfalls die gesetzliche Regelung umgehen (siehe Nr. 8.1.6).

Einschlägige Übermittlungsbefugnis für Hilfsmittelerbringer ist hingegen die abschließende Regelung des § 302 Sozialgesetzbuch Fünftes Buch - Gesetzliche Krankenversicherung (SGB V).

§ 302 SGB V Abrechnung der sonstigen Leistungserbringer

(1) Die Leistungserbringer im Bereich der Heil- und Hilfsmittel und die weiteren Leistungserbringer sind verpflichtet, den Krankenkassen im Wege elektronischer Datenübertragung oder maschinell verwertbar auf Datenträgern die von ihnen erbrachten Leistungen nach Art, Menge und Preis zu bezeichnen und den Tag der Leistungserbringung sowie die Arztnummer des verordnenden Arztes, die Verordnung des Arztes mit der Diagnose und den erforderlichen Angaben über den Befund und die Angaben ... (der Krankenversicherungskarte) anzugeben; bei der Abrechnung über die Abgabe von Hilfsmitteln sind dabei die Bezeichnungen des Hilfsmittelverzeichnisses ... zu verwenden ...

Darüber hinausgehende Befugnisse (z.B. durch weitere Gesetze bzw. Hilfsmittelverträge) bestehen nicht.

In einem konkreten Einzelfall musste ich sogar eine Beanstandung gegen eine Krankenkasse aussprechen. Diese Beanstandung betraf deren Erhebungsbogen zu Hilfsmitteln bei Dekubitus. Problematisch war dabei zum einem die potentielle Fotodokumentation des Falls. Zum anderen habe ich die Fragen zur Prophylaxe, Behandlung, Entstehungsort und Art der Wundversorgung des Dekubitus im Erhebungsbogen kritisiert. Derartige Fragen sind schließlich nicht zur Bewilligung des Hilfsmittels erforderlich. Ausschlaggebend für die Beanstandung war insbesondere, dass mir die Krankenkasse bereits im Jahre 2002 zugesichert hatte, die von mir problematisierten Punkte zu streichen und sich auf Einwilligungserklärungen des Betroffenen zu stützen. Der Erhebungsbogen wurde aber erst kürzlich - nach meiner nochmaligen eindrücklichen Erinnerung - geändert.

Zwar sicherte die Krankenkasse mir inzwischen zu, sich in Bezug auf die erörterten Fragen an die datenschutzrechtlichen Vorgaben zu halten. Ich gehe aber davon aus, dass ich mich im künftigen Berichtszeitraum mit vielen Einzelfragen zu beschäftigen habe. Angesichts meiner Erfahrungen in der Vergangenheit werde ich zudem das vereinbarte Verfahren überprüfen.

8.1.3. Unterstützung durch Krankenkasse bei Behandlungsfehlern

In den datenschutzrechtlichen Fokus geraten auch immer mehr die Fragestellungen rund um Behandlungsfehler. Hier kann sich der Betroffene an viele Stellen wenden, u.a. an seine Krankenkasse. Diese hat auch selbst ein Interesse, ihren Versicherten zur Seite zu stehen. Schließlich besteht ihrerseits eventuell die Möglichkeit, einen Erstattungs- bzw. Ersatzanspruch gegen den Schädiger geltend zu machen.

Zwar besteht auch hier der sozialdatenschutzrechtliche Grundsatz, dass die Krankenkasse grundsätzlich keine sensiblen medizinischen Daten zur Kenntnis nehmen darf (siehe Nrn. 8.1.4 und 8.1.2). Zivilrechtlich hat jedoch der Bundesgerichtshof anders entschieden: Danach geht der Anspruch des Betroffenen auf Einsicht in seine Unterlagen auf den Sozialversicherungsträger über, wenn und soweit dadurch das Bestehen von Schadensersatzansprüchen geklärt werden soll. Voraussetzung dafür ist jedoch eine Einwilligung des Betroffenen in die Einsichtnahme seiner Unterlagen durch den Sozialversicherungsträger. Bei einem derartigen zivilrechtlichen Anspruch kommen sozialdatenschutzrechtliche Regelungen nicht zur Anwendung.

Zukünftig wird die von mir kontrollierte Krankenkasse bei potentiellen Behandlungsfehlern ausschließlich zivilrechtliche Ansprüche geltend machen. Ich habe mich zudem bereit erklärt, eine entsprechende Einwilligungserklärung mitzugestalten. Bei deren Vorliegen kann die Krankenkasse ausnahmsweise Einblick in die Behandlungsunterlagen nehmen. Außerdem kann der Medizinische Dienst der Krankenversicherung (MDK) dann vollständige Gutachten an die Krankenkasse übermitteln (siehe Nr. 8.1.7).

8.1.4. Krankengeldfallmanagement der Krankenkassen bei Arbeitsunfähigkeit

Mit dem Krankengeldfallmanagement bei Arbeitsunfähigkeit versuchen die Krankenkassen, zur Überwindung von Arbeitsunfähigkeit und zur Reintegration kranker Versicherter in das Arbeitsleben beizutragen. Nicht zuletzt sollen auf diese Weise Kosten vermieden werden. Unter Krankengeldfallmanagement ist eine systematische und zielgerichtete Fallsteuerung durch die Krankenkasse zu verstehen. Dazu gehört die persönliche Beratung der Versicherten ebenso wie die Koordination zwischen den medizinischen Dienstleistungsangeboten und den verschiedenen Kostenträgern.

Auch im Berichtszeitraum habe ich mich mit unterschiedlichen datenschutzrechtlichen Problematiken (siehe 25. Tätigkeitsbericht 2012 Nr. 8.11) befasst. Besonders relevant war die Frage, inwiefern die Krankenkasse bei medizinischen Daten eine eigene Erhebungsbefugnis besitzt bzw. diese zur Kenntnis nehmen kann oder aber eine Kenntnisnahme derartiger Daten grundsätzlich ausschließlich dem Medizinischen Dienst der Krankenversicherung (MDK) zugewiesen ist. Nach wie vor meine ich, dass die für den MDK bestimmten Daten zwar auch über die Krankenkassen zugeleitet werden können. Dabei muss aber ausgeschlossen sein, dass die Krankenkasse vom Inhalt der Daten für den MDK Kenntnis nimmt (siehe Nr. 8.1.2 und bereits 17. Tätigkeitsbericht 1996 Nr. 4.4.2).

Auch im Berichtszeitraum erreichten mich Anfragen zu diesem bei den Versicherten oft angstbesetzten Thema. In meine Beratungs- und Kontrolltätigkeit konnte ich Erkenntnisse einfließen lassen, die ich im Rahmen einer überregional durchgeführten Prüfungsreihe gewonnen habe.

Insbesondere zu Beginn der Prüfungsreihe musste ich eine Vielzahl von Datenschutzverstößen feststellen. Gemeinsam mit einer großen bayerischen Krankenkasse konnte ich aber Änderungen in der Gestaltung des Krankengeldfallmanagements erreichen, die in Summe zu einem höheren Datenschutzniveau geführt haben.

  • Durch Verwendung so genannter Selbstauskunftsbögen, die auch in den Räumlichkeiten der Krankenkasse gemeinsam mit der oder dem Betroffenen ausgefüllt wurden, wurden Versicherte dazu angehalten, gegenüber der Krankenkasse - ohne Hinzuziehung des MDK - u.a. Informationen zum Krankheitszustand zu offenbaren. Nach meiner Intervention sehen die Formulare zwischenzeitlich medizinische Fragen nicht weiter vor.

  • Noch im 25. Tätigkeitsbericht 2012 unter Nr. 8.11 hatte ich festgestellt, dass die Datenschutzhinweise, die in Formularen, mit denen die Krankenkasse Auskünfte von Leistungserbringern (z.B. Ärzte oder Krankenhäuser) anfordert, vielfach fehlerhaft waren. Diese Situation hat sich erfreulicherweise deutlich gebessert.

  • In den bei der Krankenkasse geführten Akten fanden sich oftmals - ohne Schutz vor unbefugten Zugriffen - ausführliche Arztberichte, Krankenhaus- und Rehaentlassungsberichte, vollständige Gutachten des MDK sowie umfangreiche Selbstauskunftsbögen, die die Krankenkasse von Versicherten eingeholt hatte. Ich habe deshalb darauf gedrungen, dass die Krankenkasse sensible medizinische Daten grundsätzlich nur noch mittels eines verschlossenen Umschlags erhebt und speichert, der mit dem Zusatz "nur durch den MDK zu öffnen" versehen ist. Kenntnis von diesen medizinischen Daten erlangt dann nicht (mehr) die Krankenkasse, sondern nur noch der MDK. Wie eine Nachprüfung ergeben hat, wird diese "Kuvertlösung" zwischenzeitlich weitgehend umgesetzt.

  • Weiterhin musste ich feststellen, dass Auskünfte von Leistungserbringern in einer nicht unerheblichen Zahl von Fällen - zum Teil auf ausdrückliche Anforderung der Krankenkasse - per Telefax übermittelt wurden. Dies betraf auch Informationen, die ausschließlich für den MDK bestimmt waren. Bei einem solchen Vorgehen kann allerdings nicht ausgeschlossen werden, dass die Krankenkasse vom Inhalt von Daten für den MDK Kenntnis nimmt. Hier habe ich die Krankenkasse darauf hingewiesen, dass die Verwendung des Telefaxgeräts zumindest auf absolute Ausnahmefälle zu beschränken ist. In jedem Fall sind Faxsendungen mit Daten für den MDK - ebenso wie nicht mit einem besonderen Kuvert vor unberechtigter Einsichtnahme geschützte Briefsendungen für den MDK - bei der Krankenkasse mit einem Umschlag zu versehen und zu verschließen, um unberechtigte Kenntnisnahmen durch Mitarbeiter der Krankenkasse zu vermeiden.

8.1.5. Datenschutzrechtliche Befugnisse der Krankenkassen bei Krankenhausbehandlungen

Im Berichtszeitraum habe ich die datenschutzrechtlichen Befugnisse einer Krankenkasse bei Krankenhausbehandlungen geprüft. Auch hier musste ich feststellen, dass häufig vergleichbar zu anderen Leistungsbereichen oft nicht zwischen Daten "für die Krankenkasse" und "für den Medizinischen Dienst der Krankenversicherung (MDK)" unterschieden wird (siehe Nrn. 8.1.4 und 8.1.2).

Nach ständiger Rechtsprechung bestehen im Verhältnis zwischen Krankenhäusern, Krankenkassen und den Medizinischen Diensten Auskunfts- und Prüfpflichten auf drei Ebenen. Auf der ersten Stufe hat das Krankenhaus zunächst zwingend die Angaben nach § 301 Abs. 1 Sozialgesetzbuch Fünftes Buch - Gesetzliche Krankenversicherung (SGB V) zu machen. Umfassende Entlass- bzw. Befundberichte gehören - entgegen häufiger Praxis - nicht dazu:

§ 301 SGB V Krankenhäuser

(1) Die ... Krankenhäuser sind verpflichtet, den Krankenkassen bei Krankenhausbehandlung folgende Angaben im Wege elektronischer Datenübertragung oder maschinell verwertbar auf Datenträgern zu übermitteln:

  1. die Angaben ... (der Krankenversichertenkarte) sowie das krankenhausinterne Kennzeichen des Versicherten,
  2. das Institutionskennzeichen des Krankenhauses und der Krankenkasse,
  3. den Tag, die Uhrzeit und den Grund der Aufnahme sowie die Einweisungsdiagnose, die Aufnahmediagnose, bei einer Änderung der Aufnahmediagnose die nachfolgenden Diagnosen, die voraussichtliche Dauer der Krankenhausbehandlung sowie, falls diese überschritten wird, auf Verlangen der Krankenkasse die medizinische Begründung, bei Kleinkindern bis zu einem Jahr das Aufnahmegewicht,
  4. bei ärztlicher Verordnung von Krankenhausbehandlung die Arztnummer des einweisenden Arztes, bei Verlegung das Institutionskennzeichen des veranlassenden Krankenhauses, bei Notfallaufnahme die die Aufnahme veranlassende Stelle,
  5. die Bezeichnung der aufnehmenden Fachabteilung, bei Verlegung die der weiterbehandelnden Fachabteilungen,
  6. Datum und Art der im jeweiligen Krankenhaus durchgeführten Operationen und sonstigen Prozeduren,
  7. den Tag, die Uhrzeit und den Grund der Entlassung oder der Verlegung, bei externer Verlegung das Institutionskennzeichen der aufnehmenden Institution, bei Entlassung oder Verlegung die für die Krankenhausbehandlung maßgebliche Hauptdiagnose und die Nebendiagnosen,
  8. Angaben über die im jeweiligen Krankenhaus durchgeführten Leistungen zur medizinischen Rehabilitation und ergänzende Leistungen sowie Aussagen zur Arbeitsfähigkeit und Vorschläge für die Art der weiteren Behandlung mit Angabe geeigneter Einrichtungen,
  9. die ... berechneten Entgelte.

Im Einzelfall kommt als datenschutzrechtliche Rechtsgrundlage ausnahmsweise auch ein Vertrag zwischen der Krankenhausgesellschaft und den zuständigen Verbänden der Krankenkassen in Betracht. Schließlich handelt es sich hier um einen Normsetzungsvertrag (siehe Nr. 8.1.1).

Kann die Krankenkasse den Sachverhalt aufgrund der Angaben der ersten Stufe nicht abschließend prüfen, ist auf der zweiten Stufe ein Prüfverfahren durch den MDK einzuleiten. Nach ständiger Rechtsprechung steht den Krankenkassen aber kein Recht zu, selbst in die ärztlichen Behandlungsunterlagen Einsicht zu nehmen bzw. diese "zur Vorprüfung" anzufordern. Im Rahmen einer dritten Stufe hat das Krankenhaus dann ggf. dem MDK über die bisherigen Angaben hinaus alle weiteren Angaben zu erteilen und Unterlagen vorzulegen, die im Einzelfall zur Beantwortung der Prüfanfrage der Krankenkasse benötigt werden.

Auch hier hat die überprüfte Krankenkasse mir inzwischen zugesichert, sie werde sich im Grundsatz an diese datenschutzrechtlichen Vorgaben halten. Ich gehe aber auch hier davon aus, dass ich mich im künftigen Berichtszeitraum mit vielen Einzelfragen zu beschäftigen habe.

8.1.6. Datenschutzrechtliche Befugnisse im Rahmen des Risikostrukturausgleichs

Auf Grund einiger Eingaben und der Presseberichterstattung habe ich mich mit der folgenden datenschutzrechtlichen Problematik befasst. Danach nehmen Krankenkassen teilweise Kontakt mit Leistungserbringern auf, um über deren Abrechnungen zu sprechen. Zum einen sollen dabei Unklarheiten bzw. Unplausibilitäten geklärt werden. Zum anderen versuchen Krankenkassen aber zum Teil unmittelbar bzw. mittelbar Einfluss auf die konkrete Diagnose bzw. die entsprechende Codierung zu nehmen. Schließlich hängt es davon ab, wieviel Geld die Krankenkasse aus dem sog. Risikostrukturausgleich zwischen den Krankenkassen bekommt.

Wie bereits dargelegt, reicht eine Datenerhebungsbefugnis der Krankenkasse grundsätzlich nur soweit wie die entsprechende Übermittlungsbefugnis des Leistungserbringers (siehe Nrn. 8.1.2 und 8.1.5). Nach der Rechtsprechung haben die Krankenkassen zwar die entsprechenden Daten nachzuerfassen, sofern die Leistungserbringer (vermeintlich) ihren Übermittlungspflichten nicht nachkommen. Die Krankenkassen dürfen bei Zweifeln oder Unklarheiten in Bezug auf die übermittelten Daten aber grundsätzlich lediglich durch nicht-medizinische Nachfragen beim Leistungserbringer klären, ob die jeweiligen Voraussetzungen der Zahlungspflicht im Einzelfall gegeben sind. Die anschließende Prüfung, ob die genannten Gründe tatsächlich vorliegen und medizinisch stichhaltig sind, bleibt jedoch allein dem Medizinischen Dienst der Krankenversicherung vorbehalten (siehe Nrn. 8.1.4, 8.1.2, 8.1.5). Die künftige Einhaltung dieser Vorgaben wurde mir zugesichert.

8.1.7. Übermittlung von Gutachten an Krankenkassen durch den MDK Bayern

Zur Frage, in welchem Umfang der Medizinische Dienst der Krankenversicherung in Bayern (MDK Bayern) sozialmedizinische Gutachten an die Krankenkasse weitergeben kann, habe ich den Austausch mit dem MDK Bayern im Berichtszeitraum fortgeführt. Begleitend habe ich mir im Rahmen meiner Prüftätigkeit vor Ort ein Bild über den Inhalt von und den Umgang mit Gutachten des MDK Bayern in der Praxis gemacht.

Ausgangspunkt der - aufgrund erheblicher Fallzahlen besonders praxisrelevanten - datenschutzrechtlichen Bewertung ist die Regelung des § 277 Abs. 1 Sozialgesetzbuch Fünftes Buch - Gesetzliche Krankenversicherung (SGB V) über Mitteilungspflichten des MDK. Diese schafft die gesetzliche Grundlage für eine Übermittlung von bestimmten Sozialdaten durch den MDK an die Krankenkassen, begrenzt aber zugleich den Umfang dieser Datenübermittlungen. So dürfen durch den MDK lediglich das Ergebnis der Begutachtungen sowie die erforderlichen Angaben über den jeweiligen Befund an die Krankenkassen mitgeteilt werden, nicht aber weitere Informationen, die in den sozialmedizinischen Gutachten enthalten sind.

§ 277 SGB V Mitteilungspflichten

(1) Der Medizinische Dienst hat dem an der vertragsärztlichen Versorgung teilnehmenden Arzt, sonstigen Leistungserbringern, über deren Leistungen er eine gutachtliche Stellungnahme abgegeben hat, und der Krankenkasse das Ergebnis der Begutachtung und der Krankenkasse die erforderlichen Angaben über den Befund mitzuteilen. Er ist befugt, den an der vertragsärztlichen Versorgung teilnehmenden Ärzten und den sonstigen Leistungserbringern, über deren Leistungen er eine gutachtliche Stellungnahme abgegeben hat, die erforderlichen Angaben über den Befund mitzuteilen. Der Versicherte kann der Mitteilung über den Befund an die Leistungserbringer widersprechen.

Über die auf meinen Anstoß hin erfolgte Überarbeitung des beim MDK Bayern zum Einsatz kommenden EDV-Verfahrens (ISmed 3) mit dem Ziel eines datenschutzkonformen Vorgehens beim Umgang mit medizinischen Daten durch den MDK Bayern habe ich bereits in meinem 25. Tätigkeitsbericht 2012 unter Nr. 8.13 berichtet. Zum Umgang mit dem Teilaspekt der Zusammenarbeit des MDK Bayern mit den Krankenkassen bei drittverursachten Gesundheitsschäden (hierzu gehören insbesondere die Behandlungsfehler) verweise ich auf meine obigen Ausführungen (siehe Nr. 8.1.3).

Unabhängig von der im Wesentlichen positiven Entwicklung konnte ich allerdings nicht davon absehen, den MDK Bayern förmlich zu beanstanden. Ursächlich war neben der Tatsache, dass es in der Vergangenheit in einer erheblichen Vielzahl von Fällen zur Übermittlung des gesamten sozialmedizinischen Gutachtens an die Krankenkasse gekommen war, der Aspekt, dass die datenschutzrechtlichen Verstöße auch besonders sensible Sozialdaten betrafen.

Zwischenzeitlich hat der bundesweit tätige Medizinische Dienst des Spitzenverbandes Bund der Krankenkassen e.V. (MDS) eine "Gemeinsame Empfehlung zur Umsetzung des § 277 SGB V" formuliert. Die Empfehlung enthält neben Hinweisen zu einer rechtskonformen Umsetzung der gesetzlichen Vorgabe die - auch von mir wiederholt geforderte - Anregung, die MDK-Gutachter hinsichtlich der Thematik, welche Sozialdaten an die Krankenkasse übermittelt werden, zu sensibilisieren.

Der Bund-Länder-Arbeitskreis "Gesundheit und Soziales" der Datenschutzbeauftragten nahm die Empfehlung als Mindeststandard zustimmend zur Kenntnis und stellte zugleich fest, dass angesichts der deutschlandweit unterschiedlichen Situationen ein differenziertes Vorgehen notwendig sei.

8.1.8. Gewinnspiele von Krankenkassen

Mit der datenschutzrechtlichen Problematik von Gewinnspielen bei Krankenkassen war ich bereits in der Vergangenheit befasst (siehe 22. Tätigkeitsbericht 2006 Nr. 14.1.4). Zwar ist es angesichts des Wettbewerbs zwischen den gesetzlichen Krankenkassen nachvollziehbar, dass diese versuchen, neue Mitglieder zu werben bzw. an die personenbezogenen Daten potenzieller Neumitglieder zu gelangen. Dabei müssen sie jedoch die datenschutzrechtlichen Vorschriften einhalten. Der Gesetzgeber hat dazu im Jahr 2004 eine Regelung vorgesehen:

§ 284 Sozialgesetzbuch Fünftes Buch - Gesetzliche Krankenversicherung (SGB V) Sozialdaten bei den Krankenkassen

(1) Die Krankenkassen dürfen Sozialdaten für Zwecke der Krankenversicherung nur erheben und speichern, soweit diese für

  1. die Feststellung des Versicherungsverhältnisses und der Mitgliedschaft, einschließlich der für die Anbahnung eines Versicherungsverhältnisses erforderlichen Daten ... erforderlich sind.

(4) Zur Gewinnung von Mitgliedern dürfen die Krankenkassen Daten erheben, verarbeiten und nutzen, wenn die Daten allgemein zugänglich sind, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt ... Widerspricht der Betroffene bei der verantwortlichen Stelle der Nutzung oder Übermittlung seiner Daten, ist sie unzulässig. Die Daten sind zu löschen, sobald sie für die Zwecke nach Satz 1 nicht mehr benötigt werden ...

Im konkreten Einzelfall hat die Krankenkasse jedoch keine allgemein zugänglichen Daten verwendet. Vielmehr hat sie im Rahmen eines öffentlichen Festes Passanten angesprochen, ob sie an einem Gewinnspiel teilnehmen wollen. Dabei wurden u.a. auch 14jährige Jugendliche angesprochen. Lediglich bei unter 14jährigen hat die jeweilige Krankenkasse eine Einwilligungserklärung der Eltern verlangt.

Ich habe deutlich gemacht, dass ein derartiges Vorgehen nicht mit datenschutzrechtlichen Vorschriften vereinbar ist. Nach längeren Gesprächen mit der Krankenkasse konnte ich einige Verbesserungen erreichen: So wird die Krankenkasse zukünftig auf dem jeweiligen Handzettel darauf hinweisen, dass sie die Daten u.a. zum Zweck der Mitgliedergewinnung (Anbahnung eines Versicherungsverhältnisses) erhebt. Sie wird die entsprechende Einwilligungserklärung des Betroffenen umgestalten. Im Übrigen wird die Krankenkasse angesichts einer höchstrichterlichen Rechtsprechung zukünftig davon absehen, Daten von Minderjährigen zum Zwecke der Mitgliedergewinnung zu erheben. Ich werde auch weiterhin kontrollieren, ob diese Vorschriften eingehalten werden.

8.1.9. Callcenter im Auftrag von Krankenkassen

Bereits im 25. Tätigkeitsbericht 2012 unter Nr. 8.10 habe ich mich mit Telefonaktionen befasst, die Callcenter im Auftrag von Krankenkassen bei Krankenversicherten durchgeführt haben. Dabei konnte ich die datenschutzrechtliche Situation verbessern: Zum einen hat die Krankenkasse die Einwilligungserklärung modifiziert, die sie ihren Kunden vorlegt. Damit steht nun die Verarbeitung und Nutzung der Kundendaten auf einer datenschutzrechtlichen Grundlage. Zum anderen hat sie ihren Gesprächsleitfaden verändert. Danach erhebt sie Daten im Rahmen der Telefoninterviews nur dann, wenn dies zur Erfüllung bestimmter Aufgaben der Krankenkasse erforderlich ist.

Im Berichtszeitraum musste ich mich mit weiteren Telefonaktionen auseinandersetzen. Aus diesem Grund möchte ich nochmals darauf hinweisen, dass eine Krankenkasse nur dann Kontakt mit (potentiellen) Versicherten aufnehmen darf, wenn eine ausdrückliche Einwilligung hierzu vorliegt. Diese Auffassung teilen auch Rechtsprechung und das Staatsministerium für Gesundheit und Pflege.

§ 7 Gesetz gegen den unlauteren Wettbewerb (UWG) Unzumutbare Belästigungen

(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.

(2) Eine unzumutbare Belästigung ist stets anzunehmen ...

2bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung ...

8.1.10. Sonstige externe Gesundheitsdienstleister im Auftrag von Krankenkassen

Verschiedene Gesundheitsreformen versuchen über die Einführung von Wettbewerbsmechanismen, die Qualität und die Effizienz der gesetzlichen Krankenkassen zu verbessern. Die Kassen sind daher bemüht und vom Gesetzgeber angehalten, ihre Versicherten durch verschiedene Programme zu "steuern". Diese Steuerungsprogramme habe ich bereits in meinem 23. Tätigkeitsbericht 2008 Anlage 24 thematisiert. Dort habe ich auf die Entschließung der 76. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 06./07.11.2008 verwiesen. Die dort festgehaltenen datenschutzrechtlichen Grundsätze sind nach wie vor gültig.

Im Berichtszeitraum war ich insbesondere mit verschiedenen Programmen zur integrierten Versorgung nach § 140a Sozialgesetzbuch Fünftes Buch - Gesetzliche Krankenversicherung (SGB V) befasst. Dabei habe ich insbesondere auf weitere datenschutzrechtliche Vorgaben Wert gelegt:

§ 140a SGB V Integrierte Versorgung

(2) Die Teilnahme der Versicherten an den integrierten Versorgungsformen ist freiwillig ... Ein behandelnder Leistungserbringer darf aus der gemeinsamen Dokumentation ... die den Versicherten betreffenden Behandlungsdaten und Befunde nur dann abrufen, wenn der Versicherte ihm gegenüber seine Einwilligung erteilt hat, die Information für den konkret anstehenden Behandlungsfall genutzt werden soll und der Leistungserbringer zu dem Personenkreis gehört, der ... zur Geheimhaltung verpflichtet ist. (Managementgesellschaften) ... dürfen die für die Durchführung der zum Versorgungsmanagement notwendigen Steuerungsaufgaben im Rahmen der integrierten Versorgung erforderlichen personenbezogenen Daten aus der gemeinsamen Dokumentation ... nur mit Einwilligung und nach vorheriger Information des Versicherten erheben, verarbeiten und nutzen ...

Zum einen dürfen Krankenkassen auch bei Steuerungsprogrammen keine sensiblen medizinischen Daten zur Kenntnis nehmen. Dies ist ausschließlich dem Medizinischen Dienst der Krankenversicherung vorbehalten (siehe Nrn. 8.1.2 - 8.1.6).

Außerdem habe ich Zweifel an der Berechtigung einer Managementgesellschaft, sensible medizinische Daten zu erheben, zu verarbeiten und zu nutzen. Insbesondere ist eine Analyse dieser Daten (z.B. für eine Krankenkasse) grundsätzlich nur dann zulässig, sofern kein Personenbezug mehr vorliegt.

Zum anderen ist eine pauschale Information und Abstimmung von Ärzten und sonstigen Leistungserbringern untereinander datenschutzrechtlich nicht zulässig.

8.2. Pflege

8.2.1. Gesetz zur Änderung des Pflege- und Wohnqualitätsgesetzes

Die Zahl der Eingaben zu datenschutzrechtlichen Fragen bei der Pflege hat im Berichtszeitraum erheblich zugenommen. Daher war es sehr bedauerlich, dass ich bei der kürzlich erfolgten Änderung des Pflege- und Wohnqualitätsgesetzes (PfleWoqG) erst im Rahmen der Verbändeanhörung Gelegenheit hatte, mich zu äußern. Die Staatsregierung hat meine Ausführungen in meinem 23. Tätigkeitsbericht 2008 unter Nr. 17.7.1 berücksichtigt. Zukünftig dürfen Pflege-Prüfberichte keine personenbezogenen Daten enthalten. Meine weiteren Anregungen hat die Staatsregierung jedoch leider nicht aufgegriffen. Nicht zuletzt deshalb sind die derzeitigen datenschutzrechtlichen Regelungen, insbesondere Art. 11 Abs. 2 PfleWoqG nicht geeignet, die Erhebung, Verarbeitung und Nutzung von Daten in diesem Bereich rechtsklar zu regeln.

Art. 11 PfleWoqG Qualitätssicherung

(2) Die von der zuständigen Behörde mit der Überwachung der stationären Einrichtung beauftragten Personen sind befugt,

  1. die für die stationäre Einrichtung genutzten Grundstücke und Räume zu betreten; soweit diese einem Hausrecht der Bewohnerinnen und Bewohner unterliegen, nur mit deren Zustimmung,
  2. Prüfungen und Besichtigungen vorzunehmen,
  3. Einsicht in die Aufzeichnungen ... der auskunftspflichtigen Person in der jeweiligen stationären Einrichtung zu nehmen,
  4. sich mit den Bewohnerinnen und Bewohnern sowie der Bewohnervertretung oder dem Bewohnerfürsprecher in Verbindung zu setzen,
  5. bei pflegebedürftigen Bewohnerinnen und Bewohnern mit deren Zustimmung den Pflegezustand zu begutachten,
  6. die Beschäftigten zu befragen.

Die Erhebung, Verarbeitung und Nutzung der durch Tätigkeiten nach Satz 1 gewonnenen personenbezogenen Daten bedarf der Zustimmung durch die Bewohnerin oder den Bewohner. Die Mitwirkung der Bewohnerinnen und Bewohner ist freiwillig; durch die Ablehnung dürfen keine Nachteile entstehen. Die Betroffenen sind darauf hinzuweisen, dass die Zustimmung verweigert werden kann. Die Zustimmung muss in Textform ... abgegeben werden. Der Träger und die Leitung haben die Maßnahmen ... zu dulden ...

Diese Befugnis ist bei der Verarbeitung und Nutzung von Beschäftigtendaten wohl nicht einschlägig. Schließlich sieht sie immer eine Zustimmung der Bewohner vor. Der Gesetzgeber hatte bei Schaffung dieser Regelung also wohl nur die Daten der Bewohner im Auge. Ich gehe daher davon aus, dass bei Beschäftigtendaten der Anwendungsbereich dieser Vorschrift entsprechend ihrem Sinn und Zweck zu reduzieren ist und das Bayerische Datenschutzgesetz bzw. in entsprechender Anwendung das für die bayerischen Beamtinnen und Beamten geltende Personalaktenrecht Anwendung findet. Unabhängig vom Wortlaut der jeweiligen Regelung müsste überdies der verfassungsrechtlich garantierte Grundsatz der Erforderlichkeit Anwendung finden.

Der ursprüngliche Gesetzentwurf der Staatsregierung sah zunächst sogar nur eine mündliche Einwilligung vor. Es wurde befürchtet, dass andernfalls keine unangemeldeten Prüfungen mehr durchgeführt werden könnten. Damit hätten sich die datenschutzrechtlichen Regelungen des PfleWoqG und des Sozialgesetzbuches Elftes Buch - Soziale Pflegeversicherung (SGB XI) (siehe Nr. 8.2.2) aber noch weiter voneinander entfernt, obwohl Heimaufsichten bzw. der Medizinische Dienst der Krankenversicherung (MDK) die Prüfungen an sich gemeinsam durchführen sollen.

Aus diesem Grund habe ich bereits in der Verbändeanhörung die Textform für diese Einwilligungserklärungen vorgeschlagen. Sie ermöglicht gewisse Erleichterungen; so könnte die Einwilligung nicht nur schriftlich, sondern auch per E-Mail oder Fax abgegeben werden. Daher hat es mich sehr gefreut, dass der Bayerische Landtag mein Anliegen aufgegriffen hat.

Trotz intensiver Gespräche vertrat das damals zuständige Staatsministerium nach Inkrafttreten dieser Vorschrift aber eine andere rechtliche Auffassung als ich: So sollten die Heimaufsichten (wie auch der MDK) grundsätzlich lediglich im Namen der Bewohner bzw. deren Betreuer deren mündlich erteilte Einwilligungserklärung vermerken. Ich habe darauf hingewiesen, dass eine solche rechtliche Auffassung den gesetzgeberischen Willen umgeht. Dieses Vorgehen wurde auch in vielen Eingaben an mich kritisiert.

Daher erachte ich es als besonders positiv, dass das Staatsministerium für Gesundheit und Pflege letztlich auf meine Anregung hin bereit war, die bisherige Rechtsauffassung des bisher zuständigen Staatsministeriums weiterzuentwickeln. Ich erlaube mir, die erarbeiteten Vorschläge wie folgt zusammenzufassen:

  1. Im absoluten Regelfall hat die Zustimmung des Bewohners bzw. seines Betreuers vor der Prüfung in Textform zu erfolgen.
  2. Sofern dies dokumentiert ausnahmsweise nicht möglich sein sollte, kann die Zustimmung des Bewohners bzw. seines Betreuers vor der Prüfung auch in mündlicher Form erfolgen. Diese mündliche Einwilligung ist aber sofort durch eine dritte Person - die jedoch nicht die Prüfinstitution selbst sein kann - in Textform zu dokumentieren.

Ich habe mich daraufhin bereit erklärt, von einer Beanstandung der Prüfinstitutionen abzusehen, sofern sie diese Auffassung berücksichtigen. Das Staatsministerium hat die Prüfinstitutionen in einem mit mir abgestimmten Schreiben über die weiterentwickelte Verfahrensweise informiert. Ich werde die Einhaltung der vereinbarten Verfahren überprüfen (siehe Nr. 8.2.2).

8.2.2. Einwilligung der Betroffenen bei der Durchführung von Qualitätsprüfungen

Das Pflege- und Wohnqualitätsgesetz (siehe Nr. 8.2.1) ist nicht das einzige Gesetz, das sich mit den Anforderungen in der Pflege auseinandersetzt. Die medizinischen Fragestellungen der Pflege sind im Sozialgesetzbuch Elftes Buch - Soziale Pflegeversicherung (SGB XI) geregelt. Danach führt der Medizinische Dienst der Krankenversicherung (MDK) regelmäßig Qualitätsprüfungen nach § 114a SGB XI durch.

§ 114a SGB XI Durchführung der Qualitätsprüfungen

(1) Der Medizinische Dienst der Krankenversicherung ... (ist) berechtigt und verpflichtet, an Ort und Stelle zu überprüfen, ob die zugelassenen Pflegeeinrichtungen die Leistungs- und Qualitätsanforderungen nach diesem Buch erfüllen ...

(2) Sowohl bei teil- als auch bei vollstationärer Pflege ... (ist) der Medizinische Dienst der Krankenversicherung ... berechtigt, zum Zwecke der Qualitätssicherung die für das Pflegeheim benutzten Grundstücke und Räume jederzeit zu betreten, dort Prüfungen und Besichtigungen vorzunehmen, sich mit den Pflegebedürftigen, ihren Angehörigen, vertretungsberechtigten Personen und Betreuern in Verbindung zu setzen sowie die Beschäftigten und die Interessenvertretung der Bewohnerinnen und Bewohner zu befragen ... Bei der ambulanten Pflege ... (ist) der Medizinische Dienst der Krankenversicherung ... berechtigt, die Qualität der Leistungen des Pflegedienstes mit Einwilligung des Pflegebedürftigen auch in dessen Wohnung zu überprüfen. Der Medizinische Dienst der Krankenversicherung ... (soll) die nach heimrechtlichen Vorschriften zuständige Aufsichtsbehörde an Prüfungen beteiligen, soweit dadurch die Prüfung nicht verzögert wird.

(3) Die Prüfungen beinhalten auch Inaugenscheinnahmen des gesundheitlichen und pflegerischen Zustands von Pflegebedürftigen. Sowohl Pflegebedürftige als auch Beschäftigte der Pflegeeinrichtungen, Betreuer und Angehörige sowie Mitglieder der heimrechtlichen Interessenvertretungen der Bewohnerinnen und Bewohner können dazu befragt werden ... Die Teilnahme an Inaugenscheinnahmen und Befragungen ist freiwillig; durch die Ablehnung dürfen keine Nachteile entstehen. Einsichtnahmen in Pflegedokumentationen, Inaugenscheinnahmen von Pflegebedürftigen und Befragungen von Personen ... sowie die damit jeweils zusammenhängende Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Pflegebedürftigen zum Zwecke der Erstellung eines Prüfberichts bedürfen der Einwilligung der betroffenen Pflegebedürftigen.

(3a) Die Einwilligung nach Abs. 2 oder 3 muss in einer Urkunde oder auf andere zur dauerhaften Wiedergabe in Schriftzeichen geeignete Weise abgegeben werden, die Person des Erklärenden benennen und den Abschluss der Erklärung durch Nachbildung der Namensunterschrift oder anders erkennbar machen (Textform). Ist der Pflegebedürftige einwilligungsunfähig, ist die Einwilligung eines hierzu Berechtigten einzuholen ...

Auch hier muss die Einwilligung der Betroffenen in Textform erfolgen. Einwilligungen können also z.B. auch per E-Mail oder Fax abgegeben werden.

Das damals zuständige Staatsministerium vertrat zunächst eine andere rechtliche Auffassung als ich. Letztendlich konnte aber - vergleichbar zum Pflege- und Wohnqualitätsgesetz - eine Lösung gefunden werden, die sowohl dem Grundgedanken des Gesetzes, als auch den Anforderungen in der Praxis Rechnung trägt (siehe Nr. 8.2.1).

8.2.3. Zusätzliche Leistungen für Pflegebedürftige in ambulant betreuten Wohngruppen

Mit dem Gesetz zur Neuausrichtung der Pflegeversicherung (Pflege-Neuausrichtungs-Gesetz - PNG), das am 30.10.2012 in Kraft getreten ist, hat der Bundesgesetzgeber in § 38a Sozialgesetzbuch Elftes Buch - Soziale Pflegeversicherung (SGB XI) eine neue Leistung für Pflegebedürftige in ambulant betreuten Wohngruppen geschaffen (eingefügt durch Art. 1 Nr. 13 Gesetz vom 23.10.2012, BGBl. I Seite 2246).

§ 38a SGB XI Zusätzliche Leistungen für Pflegebedürftige in ambulant betreuten Wohngruppen

(1) Pflegebedürftige haben Anspruch auf einen pauschalen Zuschlag in Höhe von 200 Euro monatlich, wenn

  1. sie in ambulant betreuten Wohngruppen in einer gemeinsamen Wohnung mit häuslicher pflegerischer Versorgung leben,
  2. sie Leistungen nach § 36, § 37 oder § 38 beziehen,
  3. in der ambulant betreuten Wohngruppe eine Pflegekraft tätig ist, die organisatorische, verwaltende oder pflegerische Tätigkeiten verrichtet, und
  4. es sich um ein gemeinschaftliches Wohnen von regelmäßig mindestens drei Pflegebedürftigen handelt mit dem Zweck der gemeinschaftlich organisierten pflegerischen Versorgung, dem die jeweils maßgeblichen heimrechtlichen Vorschriften oder ihre Anforderungen an Leistungserbringer nicht entgegenstehen.

(2) Keine ambulante Versorgungsform im Sinne von Abs. 1 liegt vor, wenn die freie Wählbarkeit der Pflege- und Betreuungsleistungen rechtlich oder tatsächlich eingeschränkt ist. Die von der Gemeinschaft unabhängig getroffenen Regelungen und Absprachen sind keine tatsächlichen Einschränkungen in diesem Sinne.

Die diese Leistung auf Antrag gewährenden gesetzlichen Pflegekassen haben für ihre Versicherten in der Regel unterschiedlich ausgestaltete Formulare zum "Antrag auf einen pauschalen Wohngruppenzuschlag für Pflegebedürftige in ambulant betreuten Wohngruppen" entwickelt. Zur möglichst bundesweit einheitlichen Gestaltung der Antragsformulare haben sich die Bundes- und Landesdatenschutzbeauftragten weitgehend untereinander abgestimmt.

Auch ich hatte mich mit einem Antragsformular einer großen bayerischen gesetzlichen Pflegekasse zu befassen. Es ist gelungen, in dem Antragsformular alle wesentlichen Forderungen der Datenschutzbeauftragten des Bundes und der Länder umzusetzen und somit die Angaben im Antrag auf das zur Aufgabenerfüllung der Pflegekasse erforderliche Maß zu beschränken. Insbesondere wurde der Hinweis auf die Freiwilligkeit von Angaben in die Überschrift des Antragsformulars integriert und die freiwilligen Angaben (z.B. Angabe der Telefonnummer) mit dem Symbol (*) versehen. Wichtig war mir auch, dass die Rentenversicherungsnummer nicht abgefragt wird, genauso wie der Zeitpunkt des Einzugs in die Wohngemeinschaft, weil dies für die Antragsbearbeitung nicht erforderlich ist. Die Unterschrift der Pflege- bzw. Präsenzkraft ist nicht mehr verpflichtend und der Umfang der Datenerhebung bezüglich der anderen pflegebedürftigen Mitbewohner wurde auf die Angabe von zwei weiteren Pflegebedürftigen (mindestens Pflegestufe 1) reduziert; die Angaben wurden auf Name, Vorname, Geburtsdatum, Pflegekasse sowie die Frage, ob der Mitbewohner mindestens in Pflegestufe 1 eingestuft ist, beschränkt. Außerdem wurde die Unterschrift der Mitbewohner nur mehr als freiwillig gekennzeichnet.

Das zeitgerechte Abstimmungsverfahren hat nach meiner Überzeugung dazu beigetragen, dass zumindest in meiner Dienststelle keine nennenswerte Anzahl an Nachfragen oder gar Beschwerden zu den auszufüllenden Anträgen der Pflegekassen eingegangen sind.

Zwischenzeitlich hat der Bundesrat angeregt, mit der Aufnahme des neuen § 38a Abs. 2 SGB XI eine gesetzliche Ermächtigung zu schaffen, die es den Pflegekassen ermöglichen werde, zur Überprüfung der leistungsrechtlichen Tatbestandsmerkmale erforderliche Daten bei dem Antragsteller abzufragen (siehe Bundestags-Drucksache 18/1798 und Bundesrats-Drucksache 223/1/14 - Entwurf eines Fünften Gesetzes zur Änderung des Elften Buches Sozialgesetzbuch - Leistungsausweitung für Pflegebedürftige, Pflegevorsorgefonds (Fünftes SGB XI-Änderungsgesetz - 5. SGB XI-ÄndG)). Das Gesetzgebungsverfahren war bei Redaktionsschluss für diesen Tätigkeitsbericht noch nicht abgeschlossen.

8.3. Kindergarten

8.3.1. Veröffentlichung von personenbezogenen Daten durch Kindertageseinrichtungen

Viele Kindertageseinrichtungen wollen ihre Einrichtung und ihre pädagogische Arbeit der Öffentlichkeit, insbesondere interessierten Familien vorstellen.

Soweit sie dabei personenbezogene Daten der Kinder und Familien veröffentlichen, bedarf es hierfür aus datenschutzrechtlicher Sicht grundsätzlich einer freiwilligen, informierten und schriftlichen Einwilligung der betroffenen Eltern (zur Veröffentlichung von personenbezogenen Daten durch Schulen siehe auch meine Ausführungen im 25. Tätigkeitsbericht 2012 Nr. 10.3). Insbesondere wenn Fotografien gefertigt und veröffentlicht werden, handelt es sich um eine Erhebung bzw. Übermittlung personenbezogener Daten der abgebildeten Person. Solche Bildnisse dürfen nach dem Kunsturhebergesetz (KunstUrhG) nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden.

§ 22 KunstUrhG

(1) Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden ...

In vielen Kindertageseinrichtungen ist es mittlerweile üblich, Aktivitäten der Kinder durch digitale Fotografien festzuhalten, diese auf eine CD zu brennen und diese dann den Eltern zu überlassen. Auch für diese Vorgehensweise muss eine datenschutzkonforme Einwilligung der Eltern vorliegen, die insbesondere schriftlich zu erfolgen hat und sich unter Darlegung des Sachverhaltes speziell auf diese Form der Datenspeicherung und Datenübermittlung beziehen muss. Fotografien der Kinder, deren Eltern keine entsprechende Einwilligung erteilt haben, dürfen nicht auf den an andere Eltern weitergebenen CDs enthalten sein.

8.3.2. Anmeldung für Kindertageseinrichtungen

Im Rahmen des Anmeldeverfahrens für Kindertageseinrichtungen ist es im Allgemeinen üblich, dass Eltern ihre Kinder bei verschiedenen Einrichtungen anmelden, um sicher zu gehen, auf jeden Fall einen der begehrten Plätze zu erhalten.

In diesem Zusammenhang stellt sich die Frage, ob die Einrichtungen untereinander personenbezogene Daten der angemeldeten Kinder austauschen dürfen bzw. ob die zuständige Gemeinde über eine zentrale Anmeldestelle alle angemeldeten Kinder erfassen darf.

Bereits im 17. Tätigkeitsbericht 1996 unter Nr. 4.8.1 habe ich dargelegt, dass ich eine Übermittlung und Nutzung von personenbezogenen Daten angemeldeter bzw. abgelehnter Kindergartenkinder durch benachbarte Kindergärten für zulässig erachte, soweit dies erforderlich ist, damit die Kindergärten ihre Aufgaben der Bedarfsplanung, der Kapazitätsberechnung, der Erkennung von Mehrfachanmeldungen und der Vermeidung von Doppelbelegungen erfüllen können und soweit hierzu kein weniger einschneidender Weg zur Verfügung steht. Die Eltern sollten allerdings bereits im Anmeldeformular bei der Kindergarten-Anmeldung darauf hingewiesen werden, dass ein Abgleich mit Anmeldungen bei benachbarten Kindergärten vorgesehen ist.

An dieser Auffassung habe ich auch im Berichtszeitraum festgehalten. Mit dem im Rahmen der Novellierung des Bayerischen Kinderbildungs- und -betreuungsgesetzes neu eingefügten Art. 28a BayKiBiG existiert hierfür nunmehr auch eine spezielle Rechtsgrundlage:

Art. 28a BayKiBiG Erhebung, Verarbeitung und Nutzung von Daten

(1) Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist zulässig, wenn dies zur Erfüllung einer Aufgabe oder für eine Förderung nach diesem Gesetz erforderlich ist oder der Betroffene eingewilligt hat.

(2) Datenschutzrechtliche Regelungen in anderen Rechtsvorschriften bleiben unberührt.

Die Entscheidung der Gemeinden, welchen örtlichen Bedarf sie unter Berücksichtigung der Bedürfnisse der Eltern und ihrer Kinder für eine kindgerechte Bildung, Erziehung und Betreuung sowie sonstiger bestehender schulischer Angebote anerkennen (örtliche Bedarfsplanung), stellt eine Aufgabe nach Art. 7 BayKiBiG dar. Deshalb halte ich auch die Einrichtung einer zentralen Anmeldestelle bei der Gemeinde zur Erfüllung der Aufgabe der örtlichen Bedarfsplanung grundsätzlich für erforderlich und damit zulässig.

Im Zusammenhang mit dem zum 01.08.2013 in § 24 Abs. 2 Satz 1 Sozialgesetzbuch Achtes Buch - Kinder- und Jugendhilfe (SGB VIII) in Kraft getretenen Rechtsanspruch auf frühkindliche Förderung in einer Tageseinrichtung oder in Kindertagespflege für jedes Kind von Vollendung des ersten bis zur Vollendung des dritten Lebensjahres habe ich auch eine Datenübermittlung der bei den Gemeinden vorliegenden Anmeldelisten mit Name, Wohnort und Geburtsdatum der Kinder an die örtlichen Träger der öffentlichen Jugendhilfe, also die Landkreise und kreisfreien Städte, zur Erfüllung ihrer Aufgabe der Jugendhilfeplanung nach § 80 SGB VIII für erforderlich und damit zulässig gehalten.

Allerdings habe ich darauf hingewiesen, dass sowohl die Gemeinden als auch die Landkreise und kreisfreien Städte die Daten dann zu anonymisieren haben, wenn der jeweilige Planungszweck erfüllt ist.

8.4. Sonstige Jugendhilfe

8.4.1. Erweitertes Führungszeugnis für Ehrenamtliche

In meinem vorherigen 25. Tätigkeitsbericht 2012 unter Nr. 8.8 habe ich mich bereits grundsätzlich dazu geäußert, unter welchen Voraussetzungen es datenschutzrechtlich zulässig ist, dass Träger der Kinder- und Jugendhilfe und Stellen außerhalb der Kinder- und Jugendhilfe bestimmte Beschäftigtengruppen mit beruflichem Kontakt zu Minderjähren auffordern können, ein erweitertes Führungszeugnis zu beantragen und vorzulegen.

Im aktuellen Berichtszeitraum hatte ich mich mit folgenden Fragen zur Vorlage eines erweiterten Führungszeugnisses für ehrenamtliche Tätigkeiten im Rahmen der Jugendhilfe (§ 72a Sozialgesetzbuch Achtes Buch - Kinder- und Jugendhilfe - SGB VIII) zu befassen:

  1. Können Mitglieder von Vereinen mit Name, Adresse, Personalausweisnummer und Unterschrift in einer Liste erfasst werden, die der Vereinsvorsitzende der zuständigen Gemeinde zur Beantragung der erweiterten Führungszeugnisse beim Bundeszentralregister übermittelt?
  2. Kann die Einsichtnahme in die erweiterten Führungszeugnisse und die Erstellung einer "Unbedenklichkeitsbescheinigung" an Stelle des Vereinsvertreters durch Gemeindebedienstete erfolgen?
  3. Verstößt die Einsichtnahme in erweiterte Führungszeugnisse ehrenamtlicher Helfer durch den Vereinsvorsitzenden gegen das Recht auf informationelle Selbstbestimmung?
  4. Welche Vereine müssen nach § 72a SGB VIII Einsicht in die erweiterten Führungszeugnisse ihrer ehrenamtlichen Helfer nehmen? Gilt dies auch für Vereine außerhalb der Kinder- und Jugendhilfe, z.B. für ehrenamtliche Tätigkeiten der Freiwilligen Feuerwehr, der Kirchenchöre oder der "klassischen" Sportvereine?

Dazu habe ich folgende Auffassung vertreten:

  1. Hinsichtlich der Eintragung der persönlichen Daten in eine offene Liste habe ich Bedenken. Schließlich ist eine derartige Übermittlung von Daten nicht erforderlich.
  2. Rechtsgrundlage für eine Erhebung, Verarbeitung und Nutzung von Daten bei der Vorlage von erweiterten Führungszeugnissen im Rahmen der Kinder- und Jugendhilfe ist § 72a Abs. 5 SGB VIII. Der Wortlaut dieser Vorschrift berechtigt ausschließlich Träger der öffentlichen und freien Jugendhilfe. Daher sind Gemeinden datenschutzrechtlich nicht befugt, entsprechende Daten zu erheben, verarbeiten und zu nutzen.
  3. Mit § 72a SGB VIII gibt es eine gesetzliche Regelung, die eine Einsichtnahme in erweiterte Führungszeugnisse ehrenamtlicher Helfer zulässt. Aus datenschutzrechtlicher Sicht sollte ausschließlich eine einzige vertrauenswürdige Person bei dem jeweiligen freien Träger für die Erhebung, Verarbeitung und Nutzung der entsprechenden Daten zuständig sein. Damit wäre am ehesten gewährleistet, dass möglichst wenige Personen Kenntnis von den betroffenen Daten erlangen.
  4. Die Gesetzesbegründung zu § 72a SGB VIII (Bundestags-Drucksache 17/6256 Seite 26) führt ausdrücklich aus, dass sich diese Vorschrift nur auf die Erbringung von Leistungen der Kinder- und Jugendhilfe oder auf die Beteiligung der Erfüllung anderer Aufgaben seitens des Trägers der öffentlichen Jugendhilfe bezieht. Erfasst werden hierbei nur diejenigen Leistungen, die auch von der öffentlichen Jugendhilfe finanziert werden. Das Gesetz erfasst ferner nur diejenigen Tätigkeiten, die in einem pädagogischen Zusammenhang erbracht werden und wegen der Art, Dauer und Intensität des Kontaktes den Aufbau eines besonderen Vertrauensverhältnisses ermöglichen. Nicht bei allen ehrenamtlich tätigen Personen, die in unmittelbarem Kontakt mit Kindern und Jugendlichen stehen, darf Einsicht in das erweiterte Führungszeugnis genommen werden. Vielmehr ist nach dem eindeutigen Gesetzeswortlaut nach der Art, Intensität und Dauer des Kontaktes dieser Personen mit Kindern und Jugendlichen zu differenzieren.

8.4.2. Datenaustausch innerhalb der Jugendhilfe

"Es braucht ein ganzes Dorf, um ein Kind großzuziehen" - dieses afrikanische Sprichwort wird vielfach bemüht, wenn es darum geht, Familien bei der Erziehung zu unterstützen. Natürlich ist Zusammenarbeit in der Jugendhilfe richtig und sinnvoll - kann allerdings nur im Rahmen der datenschutzrechtlichen Vorgaben erfolgen (siehe zuletzt 25. Tätigkeitsbericht 2012 Nr. 8.6). Dazu möchte ich auf einige Fragen eingehen, die immer wieder an mich herangetragen werden:

Zunächst möchte ich einen Irrtum aufklären, dem viele Eingabeführer unterliegen. Bei einer Datenerhebung in der Jugendhilfe ist grundsätzlich keine Einwilligung notwendig:

§ 62 Sozialgesetzbuch Achtes Buch - Kinder- und Jugendhilfe (SGB VIII) Datenerhebung

(1) Sozialdaten dürfen nur erhoben werden, soweit ihre Kenntnis zur Erfüllung der jeweiligen Aufgabe erforderlich ist.

Auch die Zusammenarbeit mit den Familiengerichten wird immer wieder kritisiert. Auch hier ist nach der gesetzlichen Konzeption grundsätzlich keine Einwilligung vorgesehen.

§ 50 SGB VIII Mitwirkung in Verfahren vor den Familiengerichten

(1) Das Jugendamt unterstützt das Familiengericht bei allen Maßnahmen, die die Sorge für die Person von Kindern und Jugendlichen betreffen. ...

(2) Das Jugendamt unterrichtet insbesondere über angebotene und erbrachte Leistungen, bringt erzieherische und soziale Gesichtspunkte zur Entwicklung des Kindes oder des Jugendlichen ein und weist auf weitere Möglichkeiten der Hilfe hin. In Kindschaftssachen informiert das Jugendamt das Familiengericht ... über den Stand des Beratungsprozesses.

Zusätzliche Anforderungen bestehen jedoch dann, sofern tatsächlich ein besonderes Vertrauensverhältnis zu einem Vertreter der Jugendhilfe vorlag:

§ 65 SGB VIII Besonderer Vertrauensschutz in der persönlichen und erzieherischen Hilfe

(1) Sozialdaten, die dem Mitarbeiter eines Trägers der öffentlichen Jugendhilfe zum Zwecke persönlicher und erzieherischer Hilfe anvertraut worden sind, dürfen von diesem nur weitergegeben werden

  1. mit der Einwilligung dessen, der die Daten anvertraut hat, oder
  2. dem Familiengericht ..., wenn angesichts einer Gefährdung des Wohls eines Kindes oder eines Jugendlichen ohne diese Mitteilung eine für die Gewährung von Leistungen notwendige gerichtliche Entscheidung nicht ermöglicht werden könnte, oder ...
  3. an die Fachkräfte, die zum Zwecke der Abschätzung des Gefährdungsrisikos ... hinzugezogen werden; ...

Diese Vorschrift muss auch in der Aktenführung mit Leben gefüllt werden. Schließlich sind die technisch-organisatorischen Maßnahmen einschließlich der Dienstanweisungen zu treffen, die erforderlich sind, um die Einhaltung der datenschutzrechtlichen Vorschriften sicherzustellen. Ich gehe daher davon aus, dass für derartige anvertraute Daten ein eigenständiger Bereich in den jeweiligen Jugendhilfeakten vorgesehen ist.

Im Berichtszeitraum war ich aber leider auch mit Eingaben befasst, in denen das sprichwörtliche "Dorf" leider etwas zu groß geworden ist.

Zwar mögen Fallkonferenzen, Supervisionen bzw. institutionsübergreifende Kooperationen durchaus geeignete pädagogische Mittel darstellen. Allerdings ist jeder Vertreter dieser Gespräche verpflichtet, die für ihn einschlägigen datenschutzrechtlichen Vorschriften einzuhalten. Aus diesem Grunde rege ich an, grundsätzlich möglichst abstrakt-generell über bestimmte Fallgestaltungen (und nicht Personen) zu diskutieren. Schließlich sind die datenschutzrechtlichen Vorschriften dann nicht anwendbar, sofern es sich nicht um personenbezogene Daten handelt. Es darf allerdings kein Rückschluss auf eine konkrete Person möglich sein. Eine Alternative wäre auch, eine Einwilligungserklärung der Betroffenen bzw. zu besprechenden Personen einzuholen.

Auch die Jugendhilfeplanung sollte grundsätzlich mit anonymisierten Daten arbeiten:

§ 64 SGB VIII Datenübermittlung und -nutzung

(3) Sozialdaten dürfen beim Träger der öffentlichen Jugendhilfe zum Zwecke der Planung ... gespeichert oder genutzt werden; sie sind unverzüglich zu anonymisieren.

Auch die wirtschaftliche Jugendhilfe, die den Fall kostenmäßig abrechnet, will manchmal mehr wissen, als ihr zusteht (siehe auch 22. Tätigkeitsbericht 2006 Nr. 14.2.1). Hier ist meiner Einschätzung nach grundsätzlich lediglich die Übermittlung eines Datenblattes erforderlich, die die wirtschaftliche Jugendhilfe zur weiteren Bearbeitung braucht (z.B. Geltendmachung von Kostenerstattungsbeiträgen, Ersatzansprüche bzw. die fortdauernde Zuständigkeit). Der Inhalt von Hilfeplänen bzw. medizinischer Gutachten etc. ist grundsätzlich nicht erforderlich. Eine weitere Beteiligung der wirtschaftlichen Jugendhilfe ist meiner Einschätzung nach lediglich in Ausnahmefällen (z.B. sehr komplexe bzw. kostenintensive Maßnahmen) denkbar.

8.4.3. Erhebung von Gesundheitsdaten im Rahmen der Vollzeitpflege

Der tragische Tod des elfjährigen Pflegekinds Chantal in Hamburg im Jahr 2012 sorgte bundesweit für große Anteilnahme. In der Folge sahen sich zahlreiche Jugendämter veranlasst, ihre Praxis der Auswahl und Kontrolle von Pflegeeltern zu überprüfen und fortzuentwickeln.

Mit dem Fall eines Kreisjugendamts konfrontiert, das mittels eines Fragebogens die gesundheitliche Eignung von Pflegeeltern ermitteln wollte, habe ich geprüft, inwieweit im Rahmen der Vollzeitpflege Gesundheitsdaten von Pflegeeltern durch Jugendämter erhoben werden können. Der Fragebogen sah u.a. vor, dass die Pflegeeltern ihre Ärzte gegenüber dem Jugendamt von der Schweigepflicht entbinden.

Bei meiner datenschutzrechtlichen Bewertung war ich mir darüber im Klaren, dass meine für die Tagespflege entwickelte Rechtsauffassung (siehe 24. Tätigkeitsbericht 2010 Nr. 8.2) nicht auf die betreuungsintensivere Vollzeitpflege übertragen werden kann.

8.4.3.1. Datenerhebung vor Erteilung einer Pflegeerlaubnis

Um sich im Bereich der Vollzeitpflege engagieren zu können, müssen Interessenten eine Pflegeerlaubnis beim Jugendamt beantragen. Im Zuge des Verfahrens über die Erteilung einer Erlaubnis zur Vollzeitpflege dürfen Sozialdaten erhoben werden, soweit ihre Kenntnis zur Erfüllung der Aufgaben des Jugendamts erforderlich ist (§ 62 Abs. 1 Sozialgesetzbuch Achtes Buch - Kinder- und Jugendhilfe - SGB VIII).

§ 62 SGB VIII Datenerhebung

(1) Sozialdaten dürfen nur erhoben werden, soweit ihre Kenntnis zur Erfüllung der jeweiligen Aufgabe erforderlich ist.

Die Erlaubnis zur Vollzeitpflege ist durch das Jugendamt zu versagen, wenn die Pflegeperson oder in ihrem Haushalt lebende Personen an einer Krankheit leiden, die das Wohl des Kindes bzw. Jugendlichen nicht nur unerheblich gefährdet (§ 44 Abs. 1 SGB VIII in Verbindung mit Art. 35 Satz 2 Nr. 6 Gesetz zur Ausführung der Sozialgesetze - AGSG).

§ 44 SGB VIII Erlaubnis zur Vollzeitpflege

(1) 1Wer ein Kind oder einen Jugendlichen über Tag und Nacht in seinem Haushalt aufnehmen will (Pflegeperson), bedarf der Erlaubnis.

Art. 35 AGSG Versagungsgründe

1Die Pflegeerlaubnis nach § 44 Abs. 1 SGB VIII ist zu versagen, wenn das Wohl des Kindes oder des bzw. der Jugendlichen in der Pflegestelle nicht gewährleistet ist. 2Sie ist insbesondere zu versagen, wenn

6. eine Pflegeperson oder die in ihrem Haushalt lebenden Personen an einer Krankheit leiden, die das Wohl des Kindes oder des bzw. der Jugendlichen nicht nur unerheblich gefährdet,

Vor diesem Hintergrund dürfen Sozialdaten, die zur Prüfung der gesundheitlichen Tauglichkeit der in Betracht kommenden Pflegeperson erforderlich sind, erhoben werden.

Dabei ist aufgrund des datenschutzrechtlichen Grundsatzes der Direkterhebung grundsätzlich zunächst eine Selbstauskunft der oder des Betroffenen in Betracht zu ziehen. Um eine fachlich fundierte Einschätzung zum Gesundheitszustand vornehmen zu können, kann sich aber auch die Vorlage einer ärztlichen Bescheinigung als notwendig erweisen.

Aus einer solchen ärztlichen Bescheinigung sollte hervorgehen, ob die Bewerberin oder der Bewerber nicht an einer Krankheit leidet, die das Wohl des Kindes bzw. Jugendlichen nicht nur unerheblich gefährdet. Auch eine Konkretisierung, etwa danach, ob es sich um eine akut lebensbedrohliche bzw. lebensverkürzende Erkrankung, eine Suchterkrankung, eine psychiatrische oder eine ansteckende Erkrankung handelt, halte ich für vertretbar. Als zu weitgehend und daher nicht zulässig erachte ich indes das Verlangen nach Auskünften, die Aufschluss über den Unterfall einer Krankheit oder die Diagnose geben.

8.4.3.2. Datenerhebung im laufenden Kontaktverhältnis

Von der Datenerhebung vor Erteilung einer Pflegeerlaubnis zu unterscheiden ist die Datenerhebung im laufenden Kontaktverhältnis, d.h. nach Erteilung der Pflegeerlaubnis.

In diesem Zusammenhang möchte ich daran erinnern, dass Pflegepersonen verpflichtet sind, das zuständige Jugendamt hinsichtlich wichtiger Ereignisse zu unterrichten, die das Wohl des Kindes oder Jugendlichen betreffen (§ 37 Abs. 3 Satz 2 Sozialgesetzbuch Achtes Buch - Kinder- und Jugendhilfe - SGB VIII).

§ 37 SGB VIII Zusammenarbeit bei Hilfen außerhalb der eigenen Familie

(3) 2Die Pflegeperson hat das Jugendamt über wichtige Ereignisse zu unterrichten, die das Wohl des Kindes oder des Jugendlichen betreffen.

Die Pflegepersonen müssen dem Jugendamt insbesondere das Auftreten ansteckender oder sonstiger Krankheiten, die das Wohl des Kindes oder Jugendlichen nicht nur unerheblich gefährden können, unverzüglich mitteilen (Art. 37 Abs. 1 Gesetz zur Ausführung der Sozialgesetze - AGSG).

Art. 37 AGSG Versagungsgründe

(1) Eine Pflegeperson, die der Erlaubnis nach § 44b Abs. 1 SGB VIII bedarf, ist insbesondere verpflichtet, dem für den gewöhnlichen Aufenthalt der Pflegeperson zuständigen Jugendamt jeden Wohnungswechsel sowie das Auftreten ansteckender oder sonstiger Krankheiten, die das Wohl des Kindes oder des bzw. der Jugendlichen nicht nur unerheblich gefährden können, unverzüglich mitzuteilen.

Werden Pflegepersonen daneben im laufenden Kontaktverhältnis einmalig aufgefordert, eine ärztliche Bescheinigung vorzulegen, so ist dies nach § 62 Abs. 1 SGB VIII nur zulässig, wenn Anhaltspunkte für eine konkrete Gefährdung des Kindes oder des Jugendlichen bestehen oder die Erhebung anderweitig eingehend begründet werden kann.

Eine wiederholte und in regelmäßigen zeitlichen Abständen erfolgende Einholung ärztlicher Bescheinigungen im Rahmen eines laufenden Kontaktverhältnisses, die nicht vor dem Hintergrund eines konkreten Verdachts einer Gefährdung des Kindes oder des Jugendlichen stattfindet, halte ich dagegen für nicht zulässig. Eine solche Kontrollpraxis würde einer lückenlosen Dauerkontrolle der Pflegeperson nahekommen.

Im Übrigen halte ich es sowohl in der Zeit vor als auch in der Zeit nach Erteilung der Pflegeerlaubnis für unzulässig, obligatorische Drogentests für Pflegepersonen ohne konkreten Anlass vorzusehen. Angesichts der aufgezeigten Möglichkeiten, auf ärztliche Bescheinigungen zurückzugreifen, dürfte ein solches Verlangen ebenso an der Erforderlichkeit scheitern wie das Begehren nach einer Entbindung der Ärzte der Pflegepersonen von der Schweigepflicht gegenüber dem Jugendamt.

8.4.4. Verbundverfahren im Rahmen der Jugendhilfe

Bereits in früheren Tätigkeitsberichten hatte ich die Problematik von "Verbundverfahren" thematisiert (siehe hierzu 23. Tätigkeitsbericht 2008 Nrn. 3.14 und 14.1 bzw. 24. Tätigkeitsbericht 2010 Nr. 7.7). Im 25. Tätigkeitsbericht 2012 unter Nr. 8.5 war ich konkret mit zwei Programmen im Bereich der Kindertageseinrichtungen bzw. der Jugendsozialarbeit an Schulen befasst. Dadurch sollten unterschiedliche Stellen verschiedene Informationen zu verschiedenen Zwecken (Dokumentation, Abwicklung des Bewilligungsverfahrens, Ermöglichung von Statistik bzw. Evaluation, Planung) erhalten. Im Berichtszeitraum konnte ich hier datenschutzrechtliche Verbesserungen erreichen:

Auf meine Anregung hin hat das Staatsministerium für Arbeit und Soziales, Familie und Integration inzwischen die Kindertageseinrichtungen darauf hingewiesen, dass keine personenbezogenen Daten bei der Eingabe in KiBiG.web zu erfassen sind. Ebenso sollen in der Vergangenheit verwendete personenbezogene Daten in KiBiG.web anonymisiert bzw. gelöscht werden.

Auch bei dem betroffenen Programm für den Bereich der Jugendsozialarbeit an Schulen konnte ich Verbesserungen erzielen: So wird dieses Programm nun ausschließlich bei dem betroffenen Rechenzentrum eingesetzt; Auftraggeber sind die jeweiligen Regierungen. Die mit der Jugendsozialarbeit an Schulen befassten freien Träger haben lediglich die Möglichkeit, sich in das Programm einzuloggen. Des Weiteren verständigte ich mich mit dem Staatsministerium grundsätzlich darüber, dass neben dem Musterrahmenvertrag zur Auftragsdatenverarbeitung mit dem Rechenzentrum auch ein spezifischer Vertrag notwendig ist. Allerdings entsprechen die bisherigen Vereinbarungen noch nicht den gesetzlichen Anforderungen. Außerdem wurde mir zugesichert, dass alle Daten, die sich im System befinden und über die endgültige Verfahrensbeschreibung hinausgehen, nach einer kurzen Übergangsphase gelöscht werden.

8.5. Betreuungsgeld

In den letzten Jahren war und ist das Betreuungsgeld ein politischer Zankapfel. Leider war die datenschutzrechtliche Situation im Berichtszeitraum nicht anders. Insbesondere die Kommunalen Spitzenverbände befürchteten neue datenschutzrechtliche Probleme beim Vollzug des Elterngelds (siehe zuletzt 23. Tätigkeitsbericht 2008 Nr. 17.2.1). Insbesondere klärungsbedürftig war die Frage der Kontrollmöglichkeiten, ob Eltern für ihr Kind tatsächlich keine geförderte Kinderbetreuung in Anspruch nehmen.

Die für den Vollzug des Betreuungsgelds zuständige Behörde hat mir gegenüber erklärt, es würden lediglich personenbezogene Daten bei den Berechtigten erhoben. Für die Inanspruchnahme solle lediglich das Erklärungsprinzip gelten und auf die Angaben der Berechtigten im Antrag abgestellt werden. Regelhafte oder stichprobenartige Kontrollen etwa seitens der Kommunen seien nicht angedacht. Diese Aussage habe ich erfreut zur Kenntnis genommen. Außerdem habe ich das zuständige Staatsministerium und die Vollzugsbehörde bereits ein Jahr vor Inkrafttreten des Betreuungsgelds gebeten, mir die Entwürfe der Antragsunterlagen, der datenschutzrechtlichen Freigabe sowie der Verfahrensbeschreibung zur Prüfung zu Verfügung zu stellen.

Leider war meine Freude nur kurz: Trotz verschiedener Erinnerungen musste ich kurz vor Inkrafttreten des Betreuungsgelds der Zeitung entnehmen, dass die Vollzugsbehörde die Unterlagen bereits ausgefüllt an alle betroffenen Eltern verschickt hatte, ohne dass ich diese Unterlagen prüfen konnte. Auch eine datenschutzrechtliche Freigabe sowie eine Verfahrensbeschreibung lagen noch nicht vor. Aus diesem Grund habe ich nochmals eindringlich auf Art. 26, 30 und 32 BayDSG hingewiesen.

Art. 26 BayDSG Datenschutzrechtliche Freigabe automatisierter Verfahren

(1) Der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, bedarf der vorherigen schriftlichen Freigabe durch die das Verfahren einsetzende öffentliche Stelle ... Für wesentliche Änderungen von Verfahren gelten die Sätze 1 ... entsprechend ...

(3) Öffentliche Stellen haben ihren behördlichen Datenschutzbeauftragten rechtzeitig vor dem Einsatz oder der wesentlichen Änderung eines automatisierten Verfahrens eine Verfahrensbeschreibung mit den ... Angaben zur Verfügung zu stellen; zugleich ist eine allgemeine Beschreibung der Art der für das Verfahren eingesetzten Datenverarbeitungsanlagen und der technischen und organisatorischen Maßnahmen ... beizugeben. Die behördlichen Datenschutzbeauftragten erteilen die datenschutzrechtliche Freigabe ...

Art. 30 BayDSG Aufgaben

(1) Der Landesbeauftragte für den Datenschutz kontrolliert bei den öffentlichen Stellen die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz ...

Art. 32 BayDSG Unterstützung durch die öffentlichen Stellen

(1) Der Landesbeauftragte für den Datenschutz ist von allen öffentlichen Stellen in der Erfüllung seiner Aufgaben zu unterstützen. Ihm sind alle zur Erfüllung seiner Aufgaben notwendigen Auskünfte zu geben und auf Anforderung alle Unterlagen über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zur Einsicht vorzulegen. Er hat ungehinderten Zutritt zu allen Diensträumen, in denen öffentliche Stellen Daten erheben, verarbeiten oder nutzen. ...

(3) Die Staatskanzlei und die Staatsministerien unterrichten den Landesbeauftragten für den Datenschutz rechtzeitig über Entwürfe von Rechts- und Verwaltungsvorschriften des Freistaates Bayern sowie über Planungen bedeutender Automationsvorhaben, sofern sie die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betreffen. ...

Bei diesen Vorschriften handelt es sich nicht um lästige Formalia. Vielmehr sollen sie die verantwortliche Stelle dazu anhalten, sich bereits im Vorfeld über datenschutzrechtliche Fragen Gedanken zu machen. Schließlich ist eine Änderung im laufenden Verfahren in der Regel nur mit sehr großem Aufwand möglich.

Aber auch in der Sache bestand datenschutzrechtlicher Optimierungsbedarf: So waren das zuständige Staatsministerium sowie die Vollzugsbehörde u.a. zunächst nicht bereit, meine Anmerkungen in meinem 25. Tätigkeitsbericht 2012 unter Nr. 8.9 (Personalausweiskopie) umzusetzen. Sicherlich ist es zutreffend, dass sich die dortigen Erläuterungen primär auf den deutschen Personalausweis beziehen. Grundsätzlich gelten sie aber auch bei Ausweispapieren anderer Länder. Selbst wenn man hier ausnahmsweise auf Grund erhöhter Missbrauchsmöglichkeiten eine Ausweiskopie zulässt, so muss der Betroffene nicht erforderliche Daten schwärzen können. Nach der Rechtsprechung muss die verantwortliche Behörde sogar auf diese Möglichkeit hinweisen. Nach einer neueren Entscheidung ist dann sogar die Speicherung dieser (geschwärzten) Ausweiskopie zulässig. Letztendlich konnte ich die zuständigen Behörden nach umfangreicher Korrespondenz mit meinen Hinweisen auf die Rechtsprechung überzeugen.

8.6. Datenabgleich in der Sozialverwaltung

Bereits im 18. Tätigkeitsbericht 1998 unter Nr. 4.4 habe ich mich mit dem Thema des Datenabgleichs in der Sozialverwaltung befasst. Bei einem Datenabgleich werden bestimmte Informationen zu einer Person, die Sozialleistungen beantragt hat oder erhält, mit anderen zu dieser Person vorliegenden Datenbeständen abgeglichen. Abgesehen von spezialgesetzlichen Ausnahmefällen kann er nur zur Aufgabenerfüllung mindestens der den Abgleich initiierenden Stelle und bei einem konkreten Anlass zulässig sein. Ein solcher Anlass kann sich beispielsweise daraus ergeben, dass der Leistungsträger die Angaben des Antragstellers auf ihre Richtigkeit und Vollständigkeit hin überprüft, etwa weil er konkrete Anhaltspunkte für unrichtige bzw. unvollständige Angaben hat. Dabei muss sich die Behörde immer vor Augen führen, dass (Sozial)Daten grundsätzlich beim Betroffenen zu erheben sind und deren Erhebung ohne seine Mitwirkung bei anderen Personen oder Stellen nur in Ausnahmefällen zulässig ist.

Ein Datenabgleich kann zudem in automatisierter Form als sogenanntes automatisiertes Abrufverfahren zugelassen werden. Hierfür muss die Einrichtung eines automatisierten Abrufverfahrens gesetzlich vorgesehen sein. Daneben muss auch der einzelne tatsächlich vorgenommene Abruf im jeweiligen Einzelfall den gesetzlichen Datenerhebungs- und Datenübermittlungsvorschriften entsprechen.

Die wesentlichen Vorhaben in diesem Berichtszeitraum stelle ich im Folgenden dar.

8.6.1. Datenabgleich im Bereich der Sozialhilfe

In meinem 25. Tätigkeitsbericht 2012 unter Nr. 8.7 hatte ich mich mit Formularen einer Sozialbehörde befasst. In einem dieser Formblätter wurden Antragstellerinnen und Antragsteller von Sozialhilfe darauf hingewiesen, dass das Sozialamt Einsicht in die Daten der Wohngeldempfängerdatei, Ausländerdatei, Kfz-Zulassungsdatei und der Einwohnermeldedatei nimmt. Zur Begründung führte die Sozialbehörde hierzu aus, sie wolle hierdurch die rechtswidrige Inanspruchnahme von Sozialhilfe verhindern. Aufgrund der zahlreichen Sozialhilfefälle sei die Einsichtnahme für die Aufgabenerfüllung der Leistungssachbearbeiter zwingend erforderlich.

Die von der Behörde vorgenommenen Datenabgleiche hielt ich in vielen Punkten für zu weitgehend. Nach ausgiebigem Schriftwechsel und nach einer gemeinsamen Besprechung konnte ich erreichen, dass die Sozialbehörde auf Datenabgleiche mit der Wohngeldempfängerdatei und der Ausländerdatei zukünftig verzichten wird. Die Einsichtnahme in die Kfz-Zulassungsdatei ist auf die Haltereigenschaft beschränkt worden. Die Suche des Halters über das Kennzeichen und die Abfrage der Anzahl der Kraftfahrzeuge sind daraufhin nicht mehr vorgenommen worden.

Soweit die Sozialbehörde auf Datenabgleiche verzichtet hat, habe ich darum gebeten, die bestehenden Zugriffsmöglichkeiten auch technisch zu beschränken bzw. zu unterbinden und die zugrundeliegenden Verfahrensbeschreibungen entsprechend zu ändern.

8.6.2. Automatisiertes Abrufverfahren DIWO (Dialogorientiertes Wohngeldverfahren) für ein Jobcenter

Vom Wohnungsamt einer Stadt wurde ich darüber unterrichtet, dass für einzelne Mitarbeiterinnen und Mitarbeitern des Jobcenters dieser Stadt ein automatisiertes Abrufverfahren auf DIWO eingerichtet wurde. Danach konnten die Beschäftigten des Jobcenters als datenabrufende Stelle nach Eingabe von Namen und/oder Geburtsdatum des betreffenden Hilfesuchenden ersehen, ob ein Wohngeldantrag gestellt oder zurzeit Wohngeld gewährt wurde. Nicht ersichtlich war, dass beispielsweise ein Wohngeldbezug laufend erfolgte, oder die Höhe des ausbezahlten Wohngeldes. Der Zugriff ermöglichte nur eine Auskunft über den tagesaktuellen Stand. Die Einrichtung des automatisierten Abrufverfahrens war von der zuständigen Aufsichtsbehörde genehmigt worden.

Da im Hinblick auf das die Daten abrufende Jobcenter der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die datenschutzrechtliche Kontrollkompetenz zusteht, habe ich sie hiervon unterrichtet. Nach mehrmaligem Schriftwechsel und einem vor Ort vorgenommenen Beratungs- und Kontrollbesuch durch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat sich das betreffende Jobcenter bereit erklärt, die bestehende Möglichkeit zum Datenabgleich nicht mehr zu nutzen. Vom Wohnungsamt der Stadt wurde mir bestätigt, dass die bestehenden Zugriffsmöglichkeiten der Beschäftigten des Jobcenters gelöscht wurden und auch in technischer Hinsicht nicht mehr möglich sind.

8.6.3. Automatisierter bundesweiter Wohngelddatenabgleich

Um die rechtswidrige Inanspruchnahme von Wohngeld zu vermeiden, ist zum 01.01.2013 ein bundesweit einheitliches automatisiertes Datenabgleichverfahren beim Wohngeld durch eine Änderung des § 33 Wohngeldgesetz (WoGG) und der §§ 16 ff Wohngeldverordnung eingeführt worden.

Bei der Durchführung des automatisierten Datenabgleichs nimmt die Datenstelle des Trägers der Deutschen Rentenversicherung (Datenstelle) die Funktion einer Vermittlungsstelle wahr. Ihr werden entweder direkt von den Wohngeldbehörden oder mittelbar durch eine zu bestimmende zentrale Landesstelle die in § 33 Abs. 2 WoGG genannten erforderlichen Daten übermittelt. Diese übermittelten Daten gleicht die Datenstelle mit den bei ihr gespeicherten Daten ab bzw. übermittelt diese an das Bundeszentralamt für Steuern, die Deutsche Post AG und die Deutsche Rentenversicherung Knappschaft-Bahn-See zum dortigen Datenabgleich weiter. Die Ergebnisse der vorgenommenen Datenabgleiche werden auf dem gleichen Weg über die zentrale Landesstelle an die Wohngeldbehörden zurück übermittelt.

Die Aufgabe der zentralen Landesstelle wurde in Bayern durch eine Ergänzung der Verordnung über die Zuständigkeit zum Vollzug des Wohngeldgesetzes auf die Regierung von Unterfranken übertragen, die die abzugleichenden Daten sammelt, auf Vollständigkeit überprüft und an die Datenstelle übermittelt.

Aufgrund der klaren gesetzlichen Regelungen sowie des auf meine Anregung hin überarbeiteten IT-Konzepts der zentralen Landesstelle habe ich grundsätzlich keine Bedenken gegen die datenschutzrechtliche Zulässigkeit dieses Vorgehens.